Separa los datos laborales de los personales en dispositivos iOS

Ediciones admitidas para esta función: Frontline Starter, Frontline Standard y Frontline Plus; Business Plus; Enterprise Standard y Enterprise Plus; Education Standard, Education Plus y Endpoint Education Upgrade; Enterprise Essentials y Enterprise Essentials Plus; G Suite Basic y G Suite Business; Cloud Identity Premium. Comparar tu edición

Como administrador, puedes administrar todos los datos del dispositivo iOS personal de un usuario o solo los datos laborales. La inscripción de usuarios de Apple separa los datos laborales de los personales en los dispositivos iOS para que tengas control total de los datos laborales en el dispositivo mientras los usuarios mantienen la privacidad de sus datos personales.

Comparación de las opciones de inscripción de dispositivos iOS

Puedes elegir entre la inscripción de dispositivos y la inscripción de usuarios para dispositivos iOS BYOD (trae tu propio dispositivo). Cada tipo de inscripción te brinda un conjunto diferente de funciones.

• Usa la inscripción de usuarios si quieres proteger los datos laborales en el dispositivo y brindar privacidad al usuario sobre sus datos personales.
• Usa la inscripción de dispositivos para tener más control del dispositivo, incluida la capacidad de borrar sus datos.

Función de administración de dispositivos móviles	Inscripción del dispositivo	Inscripción de usuarios
Configura cuentas para acceder a datos laborales en apps integradas de iOS	✔	✔
Instala y configura apps	✔	✔
Requiere contraseñas para los dispositivos	✔	✔
Consulta el inventario de apps laborales	✔	✔
Quita solo los datos laborales	✔	✔
Requiere una contraseña segura	✔
Accede al inventario de apps personales	✔
Borra de forma remota todo el dispositivo (incluidos los datos personales)	✔

Antes de comenzar

• La inscripción de usuarios es compatible con dispositivos personales que ejecutan iOS 15.5 y versiones posteriores. No está disponible para dispositivos propiedad de la empresa.

Nota: El método original de inscripción de usuarios basado en perfiles (compatible con iOS 15.5 y versiones posteriores) ya no es compatible con dispositivos que ejecutan iOS 18 y versiones posteriores.

• Prepara los detalles de acceso para la Consola del administrador de Google y el Administrador de empresas de Apple o el Administrador de escuelas de Apple de tu organización.
• Activa la Administración avanzada de dispositivos móviles para la unidad organizativa que usará los dispositivos.
• Configura el Programa de Compras por Volumen (PCV) de Apple para distribuir apps laborales a los usuarios.

Paso 1: Vincula el Administrador de empresas de Apple a Google Workspace

Vincula el Administrador de empresas de Apple o el Administrador de escuelas de Apple a Google Workspace para que los usuarios puedan usar sus nombres de usuario de Google Workspace como IDs de Apple administrados. Pueden usar esos detalles para acceder a su dispositivo iOS. Necesitas licencias para la app de Google Device Policy y cualquier otra app que quieras distribuir a los dispositivos inscritos por los usuarios. Para vincular el Administrador de empresas de Apple a Google Workspace, haz lo siguiente:

1. Abre el Administrador de empresas de Apple o el Administrador de escuelas de Apple y accede con tu ID de Apple empresarial.
2. En la parte inferior izquierda, selecciona tu nombre Preferencias Cuentas de Apple administradas.
3. Junto a Autenticación federada, haz clic en Editar.
4. Selecciona Google Workspace Conectar y accede con tu cuenta de administrador de Google Workspace.
5. Marca la casilla junto a cada uno de los permisos solicitados y haz clic en Continuar Listo.
6. Junto a Dominios, haz clic en Editar.
7. Junto a tu dominio verificado, haz clic en Federar.
8. A la izquierda, haz clic en Sincronización de directorios y habilita Sincronización de Google Workspace.

Paso 2: Obtén licencias de apps para Google Device Policy

Necesitas licencias para la app de Device Policy y cualquier otra app que quieras distribuir a los dispositivos inscritos por los usuarios. Para obtener más información, consulta Distribuye apps para iOS con el PCV de Apple.

Paso 3: Selecciona el tipo de inscripción

Antes de comenzar: Si tienes dispositivos con diferentes requisitos de inscripción, configura una unidad organizativa para cada tipo de inscripción. Por ejemplo, los dispositivos propiedad de la empresa se inscriben en el dispositivo, así que asegúrate de que estén en una unidad organizativa con la opción Inscripción del dispositivo o Elección del usuario seleccionada. Para obtener más información, consulta Cómo agregar una unidad organizativa.

1. En la Consola del administrador de Google, ve a Menú Dispositivos Dispositivos móviles y extremos Configuración iOS. 

   Ir a iOS

   Es necesario tener el privilegio de administrador de los Servicios y dispositivos.

2. Haz clic en Inscripción.
3. (Opcional) Para aplicar el parámetro de configuración a un departamento o equipo, en el costado, selecciona una unidad organizativa.
4. Elige una opción (una por unidad organizativa):
   • (Predeterminado) Para administrar los datos laborales y personales en dispositivos iOS personales, selecciona Inscripción del dispositivo.
   • Para administrar solo los datos laborales en dispositivos personales, selecciona Inscripción de usuarios.
     Para aplicar el parámetro de configuración solo a los dispositivos nuevos, marca la casilla Permitir la inscripción de dispositivos para los usuarios existentes.
   • Para permitir que el usuario decida el tipo de inscripción, selecciona Elección del usuario.
     • Si el usuario elige la inscripción del dispositivo, deberá instalar la app de Google Device Policy y el perfil de configuración. Para obtener más información, go to Instala la app de Google Device Policy app.
     • Si elige la inscripción de usuarios, ve al Paso 5 (más adelante en esta página) para conocer los pasos para inscribir el dispositivo.
5. Haz clic en Guardar. También puedes hacer clic en Anular para una unidad organizativa.

   Para restablecer después el valor heredado, haz clic en Heredar.

Paso 4: Configura la inscripción de usuarios basada en la cuenta

Obligatorio para dispositivos con iOS 18 y versiones posteriores. Opcional para dispositivos con iOS 17 y versiones anteriores.

Configura la inscripción de usuarios basada en la cuenta para que los usuarios puedan inscribir sus dispositivos personales en la app de Configuración de iOS. Para configurar la inscripción basada en la cuenta, debes configurar el descubrimiento de servicios alojando la información de inscripción en tu servidor web. Esto permite que Apple recupere la información de la administración de extremos de Google.

Configura el descubrimiento de servicios

1. Define el documento JSON de descubrimiento de servicios:

   {
      "Servers": [
       {
          "BaseURL":"https://ios-mdm.google.com/userenrollment/enroll",
          "Version":"mdm-byod"
       }
      ]
   }
   

2. Configura tu alojamiento web para que entregue el documento JSON desde la siguiente ubicación:

   https://yourdomain.com/.well-known/com.apple.remotemanagement

   Importante:

   • Asegúrate de que el encabezado Content-Type de la respuesta HTTP esté configurado como application/json.
   • La autoridad certificadora de confianza debe emitir el certificado SSL para el servidor web y debe tener el mismo nombre de dominio completamente calificado (FQDN) que el dominio verificado configurado en el paso 1 (anterior en esta página).
   • La configuración de descubrimiento de servicios debe alojarse en un servidor que admita solicitudes HTTPS GET.

3. Para verificar la configuración de descubrimiento de servicios, ejecuta el siguiente comando:

   curl -I https://your_domain/.well-known/com.apple.remotemanagement

   Asegúrate de que el servidor web que entrega el archivo JSON pueda controlar parámetros de URL adicionales. Es posible que algunas versiones de iOS adjunten los siguientes parámetros a la solicitud HTTP GET:

   • user-identifier: El identificador de la cuenta de usuario (por ejemplo, email@yourdomain.com)
   • model-family: La familia de modelos del dispositivo (por ejemplo, iPhone o iPad)

   El comando debe imprimir una respuesta similar a la siguiente:

   HTTP/2 200  content-type: application/json
   last-modified: Wed, 30 Oct 2024 19:14:12 GMT
   accept-ranges: bytes
   date: Fri, 27 Dec 2024 18:40:36 GMT
   content-length: 138
   

Esta configuración permite que el dispositivo iOS encuentre los servidores de inscripción de MDM de Google durante el proceso de inscripción basada en la cuenta. Después de que un usuario ingresa la dirección de correo electrónico de su cuenta de Apple administrada, sucede lo siguiente:

1. El dispositivo extrae el nombre de dominio de la cuenta de Apple administrada.
2. El dispositivo envía una solicitud HTTP al servidor web que aloja la información de inscripción.

Ejemplo
Si el usuario Andy Jones accede a un dispositivo con el ID de Apple administrado andy.jones@yourdomain.com, sucede lo siguiente:

• El dispositivo extrae yourdomain.com y usa el proceso de descubrimiento de servicios para realizar una solicitud HTTPS de la información de inscripción alojada en https://your_domain/.well-known/com.apple.remotemanagement.
• El dispositivo identifica la MDM de Google a partir de la configuración de descubrimiento de servicios y comienza la inscripción.

Para obtener más información sobre el proceso de descubrimiento de servicios, consulta la documentación de Discover Authentication Servers documentation en el sitio web para desarrolladores de Apple.

Paso 5: Haz que los usuarios inscriban sus dispositivos

Para inscribir dispositivos iOS para la administración, haz que los usuarios hagan lo siguiente:

1. Si el dispositivo del usuario ya estaba inscrito para la administración, haz que anule el registro de su cuenta de Google Workspace en la app de Device Policy y, luego, desinstala la app. Para obtener más información, consulta Administra la app de Device Policy.
2. Elige una opción:
   • Si configuraste la inscripción de usuarios basada en la cuenta (anteriormente en este artículo), haz que los usuarios presionen Configuración General Admón. de dispositivos y VPN Inicia sesión con tu cuenta escolar o de trabajo y accedan con su cuenta de Workspace.
   • De lo contrario, haz que los usuarios accedan con su cuenta laboral en la app de Gmail instalada desde Apple App Store.
3. Sigue las indicaciones para instalar el perfil de configuración. Es posible que el usuario deba ir a la app de Configuración de iOS para instalar el perfil descargado. La app de Google Device Policy se instala automáticamente.
4. El usuario debe acceder con la app de Device Policy después de descargarla. Para obtener más información, consulta Configura un dispositivo personal device.
5. Instala apps administradas desde la app de Device Policy. Si una app está marcada como Obligatoria en la app de Device Policy, el usuario debe desinstalarla y luego, volver a instalarla desde la app de Device Policy. Para obtener más información, consulta Obtén apps laborales aprobadas en dispositivos iOS.

Notas:

• Por motivos de privacidad, la administración de extremos de Google no puede leer la lista de apps instaladas en dispositivos inscritos por los usuarios. Si un usuario aún no instaló una app administrada desde la app de Device Policy, no podemos saber si la app ya está instalada como no administrada desde App Store. Si la app ya está en el dispositivo, el usuario debe desinstalarla antes de instalarla desde la app de Device Policy. Para obtener más detalles sobre la protección de la privacidad del usuario, consulta tu documentación de Apple.
• No se envían notificaciones por correo electrónico de aprobación del administrador para la inscripción de usuarios de Apple. Debes verificar y aprobar los dispositivos manualmente con la lista de dispositivos pendientes.

Tema relacionado

Administra apps para dispositivos móviles de tu organización